17 июля 2011 в 8:53
Возьмем для сравнения самую последнюю версию из 5 или 6 линейки версий и сегодняшнюю 7 версию (7.4), какая содержит меньше уязвимостей?
К примеру 5 версия старая, но долго обновлялась и содержит много заплаток от уязвимостей, 7 новая но пока не прошла до конца обкатку так сказать.
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
Конечно-же 8.х!
Включая те уязвимости, которых еще не нашли?
конечно
Как можно знать про уязвимости, которые не нашли?
По возрастанию безопасности:
- наименее безопасна версия 5, т.к. она больше не поддерживается.
- 7-ка - вероятность найти брешь в этой версии выше чем в 6-ке, контриб сырой.
- 6-ка в настоящий момент поддерживается, хорошо изучена, так же боле-менее вылизан контриб.
но ведь она поддерживалась на протяжении нескольких лет и было выявлено и устранено много уязвимостей. Или у хакеров больше возможностей стало и то что в те года нельзя было взломать сегодня можно? Просто не могу понять и хочу разобраться...
Самая безопасная версия - это версия установленая на денвер и отключённый интернет.
Ставьте 6-ку и не парьтесь.
Во-первых, друпал это не только
ценный мехядро, но и контриб, в котором дырок поболе будет. Во-вторых, совершенного ПО не бывают, и дело может быть не только в друпале но и в тех программах, которые он использует, mysql, apache, php - если для них найдут новые дырки, из-за которых надо будет менять "скрипты", то для 5-ки никаких апдейтов не выйдет. И то что её несколько лет вылизывали значение не имеет. Ну и в третьих, у 6-ка тоже достаточно долгая история, а апдейты безопасности выходят до сих пор.понятно. А насколько сложно своими силами закрывать дыры, вот сижу я на 5 например, узнал про дыру, нанял прораммиста и он закрыл мне дыру в безопасности, со стороны мне кажется это проще чем постоянно все переписывать под новые версии. Я не программист, поэтому эти тонкости не пойму, я только html версткой владею и могу создать сайт с помощью cms, но не программировать...
igigo
Вы очень правильно мыслите. В принципе, Long Term Support так и создается, когда в этом же направлении мыслит значительное количество людей, и кооперируется.
Просто официальная Drupal Security Team поддерживает только последние два релиза, по причине ограниченности ресурсов. Ничего не мешает создать свою команду, и поддерживать любую версию, какую только захочется. Другое дело, что такая работа должна кем-то спонсироваться. Пока что можно самостоятельно проводить ревизию кода, ну а на будущее - надо следить за действиями крупного бизнеса, который находится среди основных претендентов на такое спонсорство.
Лично я на месте какого-нибудь CIO Sony BMG, которая вовсю использует Drupal, проспонсировал бы поддержку 6 версии на долгое время. Представляете, сколько денег им пришлось бы потратить на переписывание сайтов всех своих музыкантов ? Это же в чистом виде вредительство.
Куча крупных компаний имеют сайты на Друпале. Мы не видим широкой поддержки от них, скорее по причине отсутствия такой инициативы со стороны сообщества, и врожденной неповоротливости таких компаний.
Думаю, реальная движуха начнется ближе к окончанию срока поддержки 6
9
Элементарно. Этому можно научить даже мартышку, ибо закрытие дыр заключается в накладывании патчей, что очень просто.
...поэтому вы дыру не найдёте и не узнаете о ней, т.к. обнаружение уязвимостей и написание патчей для друпала требует высокой квалификации. Другое дело - Long Term Support, о котором говорит Crea, при котором этим будут заниматься специально обученные люди, но этого пока нет. А для 5-ки и не будет.
Мануал напиши
+ портфолио покажи
У марфинских стало модно повторять коммент по два раза?
Для убедительности, типа.
Модуль кодер очень помогает. Открываешь все модули и ядро и смотришь рекомендации. Он показывает как нотисы так и уязвимости. Причем практически в каждом модуле чота находит...(не считая таких тупняков как не поставлен пробел)
а зачем искать какую то дыру специально если вероятность что меня взломают с помощью нее 0,1% к примеру? Может в такой ситуации целесообразней решать проблемы по мере их поступления? Пусть сайт взломают, что то нагадят, сделал бэкап, найти уязвимость и спать спокойно. Тем более есть программы которые позволяют отслеживать изменения кода и тут же посылать смс в случае чего. Конечно это не лучший вариант, но с точки зрения финансовых, трудовых и временных затрат может так лучше?
Он скорее ищет отклонения от гайдлайнов и явные косяки в коде. XSS,XSRF он не найдёт.
Может и лучше, вам виднее - посчитайте, сколько будет стоит апгрейд и сколько будет стоит постоянный аудит безопасности. Что получиться дешевле то и имеет смысл делать.
у меня есть два сайта на самописных движках, они живут и живут по себе, я к ним не притрагиваюсь и не думаю что надо что то переделывать. А тут только и думаешь о том что потом все что делаешь надо будет переделывать,поэтому меня интересуют такие мысли что просто взять может ядро друпала за основу и разработать сайт на нем как будто самописный движок и следить за ним и развивать под себя как самописный и не думать о каких то обновлениях и переделках. Почему так никто не делает, слишком сложно?
вот почему сразу заходит речь про большое кол-во людей, почему по отдельности никто этим не занимается (раз не могут скооперироваться) или все-таки занимаются...
Почему на самописных не надо переделывать, а на друпале - надо?
Это называется форк. Людей, которые осилят качественный форк друпала в России можно пересчитать по пальцам. Остальные сделают не поддерживаемое УГ. Собственно таких поделок - завалом, вы не первый, кто придумал эту гениальную идею. Обычно подобное делают либо школьники, которые ни сном ни духом в друпале, но заказчику нужен именно он, - с грехом по-полам делают сайт, переписывая часть ядра, сдают заказчику и испаряются. Больше этот сайт никто не трогает - кто не знает друпала и так ничего сделать не может, кто знает - не хочет браться за эту поделку. Вторая категория - студии или отдельные разработчики, занимающиеся поддержкой своих, как бэ, форков. Ситуация чуть лучше, но не намного - всё держится на одном человеке, знающим эту систему и поддерживающий её. Как только он уходит/теряет интерес - куёкн, см. пункт со школьниками. Я видел несколько друпал-франкенштейнов, которые сменили несколько студийных "мэйнтенеров" - самым страшным была гремучая смесь из xml-конфигов, питона и руби - теперь я знаю, что ждёт друпал-программистов в аду.
Ресурсы же. Вы представляете, сколько сколько надо времени на подобную поддержку?